728x90
반응형
웹 메서드 취약점 진단 이후 이행점검 중 아주 골치 아픈 상황이 생겼습니다..
지금까지 수백대 서버에 대한 웹 메서드 취약점에 대한 조치 지원을 했었고,
보통 web.xml, httpd.conf 파일을 수정하면 다~ 조치가 되는 상황이었으나..
참조 : https://itinformation.tistory.com/101
이번에 아무리 조치를 요청하고 각 파일들을 확인해도 이상이 없는데 계속해서 취약점이 존재하는 상황!
남아있는 취약 Method는 Trace 메소드였습니다.
Trace메소드는 클라이언트가 송신한 리퀘스트를 그대로 반환합니다.
왜 이 메소드가 문제가 되는가 하면 Trace메소드를 사용한 공격 방법에 「XST(Cross-Site Tracing)」이라는 것이 있기 때문입니다.
참조 https://itinformation.tistory.com/49
결국 아래와 같이 설정 후 조치완료..
1. Apache Web Server 2.4.x 기준
httpd.conf 파일에 아래 내용을 추가해 줍니다.
<Drirectory>
Order deny,allow
Deny from all
</Drirectory>
Options None
AllowOverride All
Require all granted
2. httpd.conf 파일에 추가
이 방법은 「TraceEnable」과는 달리 TRACE메소드가 허가되고 있는 것처럼 보이지만, 내부 처리에 의해 무효화하는 방법입니다.
* 버전에 따라 달리 설정해야합니다..
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
</IfModule> * mod_rewrite가 선언이 되어있는지 확인이 먼저 필요
-> LoadModule rewrite_module libexec/mod_rewrite.so
감사합니다.~~
728x90
반응형
'보안 공부 > Web 보안' 카테고리의 다른 글
| WAS 관리자 로그인 창 안뜨게하는 방법 (33) | 2020.03.02 |
|---|---|
| web server 헤더 정보 숨기기!(apache) (0) | 2019.12.13 |
| 웹서버 web editor 취약점 및 샘플페이지 (0) | 2019.08.13 |
| 서버 정보 노출 차단2(Tomcat, Jetty 서버) (0) | 2019.08.08 |
| IIS HTTP 불필요 메서드 차단 방법 (0) | 2019.08.07 |